Tapausten priorisointi Microsoft Defender portaalissa
Microsoft Defender-portaalin yhdistetty suojaustoimintojen ympäristö käyttää korrelaatioanalytiikkaa ja kokoaa siihen liittyvät hälytykset ja automatisoidut tutkimukset eri tuotteista tapauksiin. Microsoft Sentinel ja Defender XDR myös käynnistävät yksilöllisiä ilmoituksia toiminnoista, jotka voidaan tunnistaa haitallisiksi vain, kun otetaan huomioon yhtenäisen ympäristön päästä päähän -näkyvyys koko tuoteohjelmistossa. Tämä näkymä antaa tietoturva-analyytikoillesi laajemman hyökkäystarinan, joka auttaa heitä ymmärtämään ja käsittelemään monimutkaisia uhkia organisaatiossasi.
Tärkeä
Microsoft Sentinel on yleisesti saatavilla Microsoftin yhdistetyssä suojaustoimintojen ympäristössä Microsoft Defender-portaalissa. Esikatselua varten Microsoft Sentinel on käytettävissä Defender-portaalissa ilman Microsoft Defender XDR tai E5-käyttöoikeutta. Lisätietoja on Microsoft Defender-portaalin kohdassa Microsoft Sentinel.
Tapausjono näyttää kokoelman tapauksia, jotka on luotu eri laitteissa, käyttäjissä, postilaatikoissa ja muissa resursseissa. Se auttaa tapausten lajittelussa priorisoimaan ja luomaan tietoon perustuvan kyberturvallisuusvastauspäätöksen, jota kutsutaan tapauskolmikoksi.
Voit siirtyä tapausjonoon kohdasta Tapaukset & hälytykset > TapauksetMicrosoft Defender portaalin pikakäynnistyksessä. Tässä on esimerkki.
Valitse Uusimmat tapaukset ja hälytykset , jos haluat vaihtaa yläosan laajennuksen, joka näyttää aikajanakaavion vastaanotettujen ilmoitusten ja viimeisten 24 tunnin aikana luotujen tapausten määrästä.
Tämän alla Microsoft Defender-portaalin tapausjono näyttää viimeisten kuuden kuukauden aikana näytyneet tapaukset. Voit valita eri aikavälin valitsemalla sen yläreunan avattavasta valikosta. Tapaukset järjestetään viimeisimpien automaattisten tai manuaalisten tapahtumien mukaan. Voit järjestää tapaukset viimeisimmän päivityksen aikasarakkeen mukaan, jotta voit tarkastella tapauksia uusimpien automaattisten tai manuaalisten päivitysten mukaan.
Tapausjonossa on mukautettavia sarakkeita, jotka antavat sinulle näkyvyyden tapahtuman eri ominaisuuksiin tai niihin entiteetteihin, joihin ongelma vaikuttaa. Tämän suodattimen avulla voit tehdä tietoon perustuvan päätöksen tapausten priorisoinnista analyysia varten. Valitse Mukauta sarakkeita , jos haluat suorittaa seuraavat mukautukset haluamasi näkymän perusteella:
- Valitse sarake, jonka haluat nähdä tapausjonossa, tai poista valinta.
- Järjestä sarakkeiden järjestys vetämällä niitä.
Jos haluat nähdä enemmän yhdellä silmäyksellä, Microsoft Defender XDR luo tapausten nimet automaattisesti hälytysmääritteiden, kuten niiden päätepisteiden määrän, joita asia koskee, tunnistuslähteiden tai luokkien perusteella. Tämän tietyn nimeämisen avulla voit nopeasti ymmärtää tapahtuman laajuuden.
Esimerkki: Monivaiheinen tapaus useille useiden lähteiden ilmoittamalle päätepisteelle.
Jos olet lisännyt Microsoft Sentinel yhdistettyjen suojaustoimintojen ympäristöön, Microsoft Sentinel tulevien hälytysten ja tapausten nimet todennäköisesti muuttuvat (riippumatta siitä, luotiinko ne ennen perehdytystä vai sen jälkeen).
Suosittelemme välttämään tapauksen nimen käyttämistä automaatiosääntöjen käynnistämisen ehtona. Jos tapauksen nimi on ehto ja tapahtuman nimi muuttuu, sääntöä ei käynnistetä.
Tapahtumajono tarjoaa myös useita suodatusvaihtoehtoja, joiden avulla voit käyttöön otettaessa kerätä laajat tiedot kaikista ympäristössäsi olevista tapauksista tai päättää keskittyä tiettyyn skenaarioon tai uhkaan. Suodattimien käyttäminen tapausjonossa voi auttaa selvittämään, mikä tapaus edellyttää välitöntä huomiota.
Suodatinluettelon yläpuolella olevassa Suodattimet-luettelossa näkyvät käytössä olevat suodattimet.
Voit valita oletustapausjonosta Lisää suodatin , jolloin näkyviin tulee avattava Lisää suodatin -valikko, josta voit määrittää tapahtumajonoon sovellettavat suodattimet, jotka rajoittavat näytettävien tapausten joukkoa. Tässä on esimerkki.
Valitse käytettävät suodattimet ja valitse sitten luettelon alareunasta Lisää , jotta ne ovat käytettävissä.
Nyt valitsemasi suodattimet näkyvät yhdessä aiemmin käytettyjen suodattimien kanssa. Valitse uusi suodatin ja määritä sen ehdot. Jos valitset esimerkiksi Palvelu/tunnistamislähteet -suodattimen, valitse se ja valitse lähteet, joiden mukaan luettelo suodatetaan.
Näet myös Suodatin-ruudun valitsemalla minkä tahansa suodattimet Suodattimet-luettelosta , joka on tapahtumien luettelon yläpuolella.
Tässä taulukossa on luettelo käytettävissä olevista suodattimien nimistä.
Suodattimen nimi | Kuvaus/ehdot |
---|---|
Tila | Valitse Uusi, Käynnissä tai Ratkaistu. |
Ilmoituksen vakavuus Tapauksen vakavuus |
Hälytyksen tai tapauksen vakavuus on osoitus sen vaikutuksesta varoihisi. Mitä suurempi vakavuus, sitä suurempi vaikutus ja yleensä se vaatii välittömintä huomiota. Valitse Suuri, Normaali, Pieni tai Tiedot. |
Tapausmääritys | Valitse määritetty käyttäjä tai käyttäjät. |
Useita palvelulähteitä | Määritä, onko suodatin useammalle kuin yhdelle palvelulähteelle. |
Palvelun/tunnistuksen lähteet | Määritä tapaukset, jotka sisältävät ilmoituksia vähintään yhdestä seuraavista: Monet näistä palveluista voidaan laajentaa valikossa paljastamaan lisää tunnistuslähteiden valintoja tietyssä palvelussa. |
Tunnisteet | Valitse luettelosta yksi tai useita tunnisteen nimiä. |
Useita luokkiin | Määritä, onko suodatin useammalle kuin yhdelle luokalle. |
Luokat | Valitse luokat, jotka keskittyvät tiettyihin taktiikoihin, tekniikoihin tai hyökkäyskomponentteihin. |
Yhteisöt | Määritä resurssin nimi, kuten käyttäjä, laite, postilaatikko tai sovelluksen nimi. |
Tietojen luottamuksellisuus | Joissakin hyökkäyksissä keskitytään arkaluonteisten tai arvokkaiden tietojen suodattamiseen. Käyttämällä suodatinta tietyille luottamuksellisuustunnisteille voit nopeasti selvittää, onko arkaluontoisia tietoja mahdollisesti vaarantunut, ja priorisoida näiden tapausten käsittelemisen. Tämä suodatin näyttää tiedot vain, kun olet käyttänyt luottamuksellisuustunnisteita Microsoft Purview Information Protection. |
Laiteryhmät | Määritä laiteryhmän nimi. |
Käyttöjärjestelmän ympäristö | Määritä laitteen käyttöjärjestelmät. |
Luokitus | Määritä liittyvien ilmoitusten luokitusjoukko. |
Automaattisen tutkinnan tila | Määritä automatisoidun tutkimuksen tila. |
Liittyvä uhka | Määritä nimetty uhka. |
Ilmoituskäytännöt | Määritä ilmoituskäytännön otsikko. |
Ilmoitusten tilaustunnukset | Määritä tilaustunnukseen perustuva ilmoitus. |
Oletussuodattimena on näyttää kaikki ilmoitukset ja tapaukset, joiden tila on Uusi ja Käynnissä ja joiden vakavuus on Suuri, Normaali tai Pieni.
Voit poistaa suodattimen nopeasti valitsemalla X suodattimen nimestä Suodattimet-luettelosta .
Voit myös luoda suodatinjoukkoja tapahtumat-sivulla valitsemalla Tallennetut suodatinkyselyt > Luo suodatinjoukko. Jos suodatinjoukkoja ei ole luotu, luo sellainen valitsemalla Tallenna .
Huomautus
Microsoft Defender XDR asiakkaat voivat nyt suodattaa ilmoituksia, joissa yritysverkkoon yhdistettyjen käyttöteknologian laitteiden (OT) kanssa välitetty vaarantunut laite integroida Microsoft Defender IoT:lle ja Microsoft Defender for Endpoint. Jos haluat suodattaa nämä tapaukset, valitse Mikä tahansa Palvelun/tunnistuksen lähteistä ja valitse sitten tuotteen nimestä Microsoft Defender IoT:lle tai katso Kohta Tapausten ja hälytysten tutkiminen IoT:n Microsoft Defender Defender-portaalissa. Laiteryhmien avulla voit myös suodattaa sivustokohtaisia ilmoituksia. Lisätietoja IoT:n Defenderin edellytyksistä on artikkelissa Yrityksen IoT-valvonnan käytön aloittaminen Microsoft Defender XDR.
Kun olet määrittänyt hyödyllisen suodattimen tapahtumat-jonossa, voit lisätä selaimen välilehden URL-osoitteen kirjanmerkkeihin tai muuten tallentaa sen linkkinä verkkosivulle, Word asiakirjaan tai haluamaasi paikkaan. Kirjanmerkkien avulla voit käyttää tapahtumajonon avainnäkymiä yhdellä napsautuksella, kuten:
- Uudet tapaukset
- Suuren vakavuusasteen tapaukset
- Määrittämättömät tapaukset
- Suuren vakavuusasteen, määrittämättömät tapaukset
- Minulle osoitetut tapaukset
- Minulle ja Microsoft Defender for Endpoint osoitetut tapaukset
- Tapaukset, joilla on tietty tunniste tai tunniste
- Tapaukset, joilla on tietty uhkaluokka
- Tapaukset, joihin liittyy erityinen uhka
- Tapaukset, joissa on tietty toimija
Kun olet kääntänyt ja tallentanut hyödyllisten suodatinnäkymien luettelon URL-osoitteina, voit sen avulla käsitellä ja priorisoida jonon tapahtumat nopeasti ja hallita niitä myöhempää määritystä ja analyysia varten.
Etsi nimeä tai tunnusta -ruudusta, joka on tapahtumien luettelon yläpuolella, voit etsiä tapauksia useilla tavoilla, jotta löydät nopeasti etsimäsi.
Voit etsiä tapahtumaa suoraan kirjoittamalla tapahtuman tunnuksen tai tapauksen nimen. Kun valitset tapahtuman hakutulosluettelosta, Microsoft Defender-portaali avaa tapahtuman ominaisuudet sisältävän uuden välilehden, josta voit aloittaa tutkimuksesi.
Voit nimetä resurssin, kuten käyttäjän, laitteen, postilaatikon, sovelluksen nimen tai pilviresurssin, ja etsiä kaikki kyseiseen resurssiin liittyvät tapaukset.
Oletusarvoinen luettelo tapauksista on viimeisen puolen vuoden aikana tapahtuneet tapaukset. Voit määrittää uuden aika-alueen kalenterikuvakkeen vieressä olevasta avattavasta ruudusta valitsemalla:
- Yksi päivä
- Kolme päivää
- Yksi viikko
- 30 päivää
- 30 päivää
- Kuusi kuukautta
- Mukautettu alue, jossa voit määrittää sekä päivämäärät että kellonajat
Kun olet määrittänyt, mikä tapaus vaatii korkeimman prioriteetin, valitse se ja:
- Hallitse tapahtuman ominaisuuksia tunnisteille, tehtävämääritykselle, positiivisten tapausten välittömälle ratkaisulle ja kommenteille.
- Aloita tutkimukset.
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.